Nhóm hacker Panda đứng sau vụ tấn công phần mềm độc hại mã hóa “MassMiner” năm 2018 đã xuất hiện trở lại. Nhóm sử dụng các công cụ truy cập từ xa (RAT) cùng với nhiều phần mềm khai thác tiền điện tử khác truy cập và khai thác các máy tính dễ bị xâm nhập để khai thác tiền điện tử. Phương pháp của nhóm không được coi là một trong những phương pháp tinh vi nhất. Tuy nhiên, nhóm hiện đã cập nhật cơ sở hạ tầng để khai thác các lỗ hổng bảo mật mới theo thời gian.
Theo một nghiên cứu gần đây do Talos của Cisco thực hiện, nhóm đe dọa Panda đã xuất hiện trở lại và cuộc tấn công mới nhất là vào tháng 8/2019. Các nhà nghiên cứu Christopher Evans và David Liebenberg của công ty đã tuyên bố:
“Panda sẵn sàng khai thác liên tục các ứng dụng web dễ bị xâm phạm trên toàn thế giới, các công cụ của họ cho phép truy cập mạng và sử dụng RAT, có nghĩa là các tổ chức trên toàn thế giới có nguy cơ bị lạm dụng tài nguyên hệ thống cho mục đích khai thác hoặc tệ hơn, chẳng hạn như rò rỉ thông tin có giá trị”.
Nhóm đã từng khai thác các tổ chức ngân hàng, y tế, vận tải và dịch vụ IT, kiếm được khoảng 100,000 đô la bằng Monero cho đến nay. Nghiên cứu cũng phát hiện ra rằng nhóm Panda sử dụng các khai thác tương tự như Shadow Broker từng sử dụng trước đây, một nhóm khét tiếng xuất bản thông tin của Cơ quan An ninh Quốc gia.
Quá trình phát triển của nhóm hacker Panda
Panda đã bị radar tìm thấy do chiến dịch ‘MassMiner’ tai tiếng trong năm 2018 bằng cách sử dụng phần mềm độc hại MassScan để quét cổng và tìm các lỗ hổng khác nhau trong các máy chủ phục vụ cho việc khai thác. Khi mối đe dọa được phát hiện, nhóm sẽ cài đặt phần mềm độc hại và bắt đầu khai thác Monero trên máy tính mục tiêu.
Theo các nhà nghiên cứu tại Talco, mặc dù nhóm đã cập nhật payload nhiều lần cùng với việc chọn các mục tiêu dễ xâm phạm mới, nhưng hầu như không thay đổi chiến thuật. Evans giải thích:
“Họ cố gắng che giấu miner bằng cách sử dụng chính xác các kỹ thuật phổ biến mà chúng ta thấy với các nhóm khác. Có thể đoán được cơ sở hạ tầng của họ: Tôi thường có thể hạn chế một tên miền Panda mới ngay khi tôi thấy nó trong dữ liệu; chúng có xu hướng lặp lại”.
Evans cũng đề xuất một số cách để phát hiện hoạt động khai thác trên máy tính. Anh chia sẻ:
“Có một số cách để phát hiện hoạt động khai thác nhưng hãy tập trung vào các giải pháp đơn giản về vá lỗi và kiểm soát bảo mật cơ bản. Nếu bạn đang chạy một máy chủ WebLogic có thể truy cập web chưa được vá các lỗ hổng như CVE-2017-10271 thì ít nhất họ cũng đã nhắm mục tiêu vào hệ thống để khai thác nếu không thực sự dừng miner trên đó. Ngoài ra, nếu bạn không cần mở Internet, hãy tắt nó đi”.
- Bitcoin Futures của Binance bị tấn công lần thứ hai bởi một nhà tạo lập thị trường – CZ đính chính đó chỉ là “tai nạn”
- Bitcoin, Bitcoin Cash, Ethereum và Monero có dính líu tới đường dây buôn bán fentanyl
Minh Anh
Tạp chí Bitcoin | Eng.ambcrypto
